Cyber kill lánc
A cyber kill lánc (CKC) egy hagyományos biztonsági modell, amely egy régi iskola forgatókönyvét írja le: egy külső támadó lépéseket tesz a hálózatba való behatolás és az adatok ellopása érdekében, lebontva a támadási lépéseket, hogy segítse a szervezeteket a felkészülésben. A CKC-t egy számítógépes biztonsági válaszcsoport néven ismert csapat fejlesztette ki. A cyber kill lánc egy külső támadó támadását írja le, amely a biztonság keretein belül próbál hozzáférni az adatokhoz
A számítógépes gyilkossági lánc egyes szakaszai a támadó Way céljával együtt egy sajátos célt mutatnak. Tervezze meg a kibermodell gyilkossági láncfelügyeleti és reagálási tervét, amely hatékony módszer, mivel arra összpontosít, hogy a támadások hogyan történnek. A szakaszok a következőket tartalmazzák:
- Felderítés
- Fegyverzés
- Szállítás
- Kizsákmányolás
- Telepítés
- Parancs és irányítás
- Célokkal kapcsolatos műveletek
A cyber kill lánc lépéseit most ismertetjük:
1. lépés: Felderítés
Ez magában foglalja az e-mail címek betakarítását, a konferenciáról szóló információkat stb. A felderítő támadás azt jelenti, hogy a fenyegetések erőfeszítései a lehető legnagyobb mértékben összegyűjtik a hálózati rendszerek adatait, mielőtt más valódi ellenséges támadásokba kezdenének. A felderítő támadók kétféle passzív felderítés és aktív felderítés. A Recognition Attacker a „ki” -re vagy a hálózatra összpontosít: Valószínűleg ki fog a kiváltságos személyekre összpontosítani, vagy a rendszerhez való hozzáféréshez, vagy a „Network” bizalmas adatokhoz való hozzáférés az architektúrára és az elrendezésre összpontosít; eszköz, felszerelés és protokollok; és a kritikus infrastruktúra. Értse meg az áldozat viselkedését, és törjön be az áldozat házába.
2. lépés: Fegyveresítés
Adja meg a hasznos terhet azáltal, hogy a kihasználásokat összeköti a hátsó ajtóval.
Ezután a támadók kifinomult technikák segítségével újraterveznek néhány alapvető célkitűzésnek megfelelő rosszindulatú programot. A rosszindulatú program kihasználhatja a korábban ismeretlen biztonsági réseket, más néven „nulla napos” kiaknázásokat vagy a sebezhetőségek kombinációit, hogy a támadók igényeitől és képességeitől függően csendesen legyőzze a hálózat védelmét. A rosszindulatú programok újratervezésével a támadók csökkentik annak esélyét, hogy a hagyományos biztonsági megoldások észleljék azt. „A hackerek több ezer olyan internetes eszközt használtak, amelyeket korábban rosszindulatú kód fertőzött meg -„ botnetnek ”vagy viccesen„ zombihadseregnek ”nevezve - különösen erőteljes elosztott szolgáltatásmegtagadást kényszerítve Angriff (DDoS).
3. lépés: Szállítás
A támadó rosszindulatú terhelést küld az áldozatnak e-mailben, ami csak egy a sok közül, amelyet a támadó behatolási módszerekkel alkalmazhat. Több mint 100 lehetséges szállítási mód létezik.
Cél:
A támadók behatolást kezdenek (az előző 2. lépésben kifejlesztett fegyverek). A két alapvető módszer a következő:
- Ellenőrzött kézbesítés, amely közvetlen kézbesítést jelent, egy Open Port feltörését.
- A kézbesítés felszabadul az ellenfél számára, amely adathalászattal továbbítja a kártevőt a célpontnak.
Ez a szakasz megmutatja az első és legjelentősebb lehetőséget a védők számára a művelet akadályozására; ennek ellenére egyes kulcsfontosságú képességeket és más, nagyra értékelt adatokkal kapcsolatos információkat legyőznek. Ebben a szakaszban mérjük a frakcionális behatolás kísérleteinek életképességét, amelyeket a szállítási pont akadályoz.
4. lépés: Kihasználás
Miután a támadók észlelték a rendszer változását, kihasználják a gyengeséget és végrehajtják a támadásukat. A támadás kizsákmányolási szakaszában a támadó és a gazdagép sérül. A kézbesítési mechanizmus általában a két intézkedés egyikét teszi meg:
- Telepítse a Malware (egy dropper) alkalmazást, amely lehetővé teszi a támadó parancs végrehajtását.
- Malware telepítése és letöltése (letöltő)
Az elmúlt években ez a hacker közösség szakterületévé vált, amelyet gyakran bemutatnak olyan eseményeken, mint a Blackhat, a Defcon és hasonlók.
5. lépés: Telepítés
Ebben a szakaszban egy távoli hozzáférésű trójai vagy hátsó ajtó telepítése az áldozat rendszerére lehetővé teszi a versenyző számára, hogy kitartást tartson fenn a környezetben. A rosszindulatú programok telepítése az eszközre a végfelhasználók részvételét igényli a rosszindulatú kód akaratlan engedélyezésével. A cselekvés ezen a ponton kritikusnak tekinthető. Ennek technikája egy gazdagép-alapú behatolásmegelőző (HIPS) rendszer bevezetése lenne, amely például óvatosságot nyújt vagy akadályt állít a közös utak elé, például. NSA Állás, Újrahasznosító. Elengedhetetlen annak megértése, hogy a Malware megköveteli-e a rendszergazdától vagy csak a felhasználótól a privilégiumokat a cél végrehajtásához. A védőknek meg kell érteniük a végpont-ellenőrzési folyamatot a fájlok rendellenes létrehozásának feltárása érdekében. Tudniuk kell, hogyan kell összeállítani a rosszindulatú programok időzítését annak megállapításához, hogy régi-e vagy új.
6. lépés: Parancs és irányítás
A Ransomware a Connections segítségével vezérli. A fájlok lefoglalása előtt töltse le a titkosítás kulcsait. A trójaiak távoli elérése például megnyit egy parancsot, és ellenőrzi a kapcsolatot, így távolról is megközelítheti a rendszer adatait. Ez lehetővé teszi a környezet folyamatos kapcsolódását, és a detektív a védelem aktivitását méri.
Hogyan működik?
A parancs- és vezérlési tervet általában egy jelzőfény segítségével hajtják végre a rácsból az engedélyezett út felett. A jelzőfényeknek sokféle formája van, de általában a legtöbb esetben:
HTTP vagy HTTPS
Jóindulatú forgalomnak tűnik hamisított HTTP fejléceken keresztül
Azokban az esetekben, amikor a kommunikáció titkosított, a jelzők általában automatikusan aláírt tanúsítványokat vagy egyedi titkosítást használnak.
7. lépés: Műveletek a célokkal kapcsolatban
A cselekvés arra a módra utal, ahogyan a támadó eléri végső célját. A támadó végső célja bármi lehet, hogy kiválthasson egy Ransom-ot a fájlok visszafejtéséről az Ügyfélinformációra a hálózatból. A tartalomban ez utóbbi példa megállíthatja az adatvesztés-megelőzési megoldások kiszűrését, mielőtt az adatok elhagynák a hálózatot. Ellenkező esetben a támadások felhasználhatók olyan tevékenységek azonosítására, amelyek eltérnek a meghatározott alapvonalaktól, és értesítik az IT-t arról, hogy valami nincs rendben. Ez egy bonyolult és dinamikus támadási folyamat, amely hónapokban és több száz apró lépésben valósulhat meg. Miután ezt a fázist azonosították egy környezetben, meg kell kezdeni az elkészített reakciótervek végrehajtását. Legalább be kell tervezni egy befogadó kommunikációs tervet, amely magában foglalja a legmagasabb rangú tisztviselőnek vagy az igazgatóságnak eljuttatandó információk részletes bizonyítékát, a végpont biztonsági eszközeinek telepítését az információvesztés blokkolására, valamint a tájékoztatás előkészítését. egy CIRT csoport. Ezen erőforrások idő előtti megalapozása „KELL” a mai gyorsan fejlődő kiberbiztonsági fenyegetettségben.